msn

2009年2月15日 星期日

Improving End User Behaviour in Password Utilization: An Action Research Initiative

這篇論文主 要是探討如何幫助一般用戶創建安全程度夠高的密碼並且易於個人記憶,這樣的密碼至少需要15個組成,其中包含2個數字與1個符號,但是根據古典認知研 究:humans can memorize only seven plus or minus two chunks of information (Miller 1956)

所以希望能透過良好的研究,去完成這個目標:能幫助一般用戶創建一個保密程度夠,又能有效記憶(不需要額外寫出來)的密碼;另一方面也希望提昇一般用戶對於安全問題的認知。

研究方式是採用行動研的方式,文中有提到兩項重要因素讓他們採用行動研究:

1.action research is ‘‘ideally suited to the study of technology in its human context’’ (Baskerville and Wood-Harper 1996, p. 235).

2.Lindgren et al. (2004) classify action research as an interventionist method that ‘‘allows the researcher to test a working hypothesis about the phenomenon of interest by implementing and assessing change in real-world setting’’ (p. 441).

其中的重點應該就是實際世界的變化,針對某些被意識到的問題,跟實際世界的變化有關,就需要從實際世界的變化去著手研究,進行一段反覆修正嘗試,閉門造車是無法良好的改善這些問題的。

研究的背景中有兩套系統,各有不同的用途,並使用不同的帳號,兩套系統的用戶人數也不同(28050),其中只有10人是雙系統用戶

研究步驟採用基礎的行動研究中五個步驟:

Problem diagnosis:密碼太難記,平均一週有5次要求更改密碼,容易分享密碼給學生協助記憶(威脅其他帳戶的安全性),示範一些密碼破解程式(讓用戶瞭解安全層級不夠高是容易被破解的),設定新密碼規範: 32.7%很難用,太長,我其他的密碼沒這麼長,密碼很多組,密碼太長很容易打錯;47.3%容易使用,用有一定意義且用習慣就可以了

action planning:兩目標:教育用戶安全密碼的好處;協助用戶設定安全的密碼。主要活動:(1)為訓練系統去確定用戶的需求(2)為密碼按全訓練系統去制定標準(3)為Office of IT提出可供選擇的訓練系統

intervention:從上兩個階段瞭解兩個主要問題:

1)為了去記憶強健的密碼有必要記憶某些技術和策略,因此讓使用者可以不必寫下來,不會忘記它們,或不必在多個帳戶使用相同的密碼

2)有需要讓使用者有安全意識

因此進行一些必要的訓練,根據之前的目的設計五套訓練過程在網路上,之後又進行一些集訓課程

evaluation:與集訓課程參與者針對訓練內容以半結構式訪談,經設計的訓練過程讓使用者體認了提昇安全性是刻不容緩的,並且也讓他們發現其實高安全性的密碼不是那麼難以記憶的;對於訓練網站的回應也是獲得認可,也激發一些使用者回饋他們如何設計他們的密碼

specification of learning outcomes:發現大多數使用者不知道他們的密碼安全是受威脅的,也發現他們很困難去建立和背誦安全的密碼,因此實施了一系列的計畫安排,也很感謝管 理組織的支持,研究才能順利進行;行動研究中每一個階段是有互相重疊的,所以將結果紀錄是永遠不會嫌太早開始滴